7 respuestas en este tema

[escafandra]

Voy a tratar de explicar como proteger una app encriptando una función vital para el programa. La clave de descifrado dependerá de la clave de la licencia.
 
Imaginemos un código como este en el que una función es vital porque importa dinámicamente un procedimiento esencial de una dll:

delphi

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type PLogueado = procedure; stdcall;
 
implementation
 
{$R *.dfm}
var
Logueado: PLogueado;
 
 
procedure Vital;
var
  hLib: HMODULE;
begin
  hLib:= LoadLibrary('UnaDll.dll');
  Logueado:= GetProcAddress(hLib, 'Logueado');
  if @Logueado <> nil then
    Logueado;
end;}
 
procedure TForm1.FormCreate(Sender: TObject);
begin
  Vital;
end;
 
end.

Para el ejemplo, esta será la dll:

delphi

library UnaDll;
 
uses
  Windows;
 
{$R *.res}
 
 
procedure Logueado;
begin
 MessageBox(0, 'El programa funcionará correctamente', 'Eureca', MB_OK);
end;
 
exports
Logueado;
 
begin
end.

 
 
Ahora vamos a cambiar las cosas para encriptar el procedimiento Vital. Añadimos una función o procedimiento de cifrado, otro de descifrado y otro para guardar el binario cifrado de Vital. El procedimiento FinVital hay que dejarlo justo al final de Vital:

delphi

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type PLogueado = procedure; stdcall;
 
implementation
 
{$R *.dfm}
var
Logueado: PLogueado;
 
// Una función de cifrado simétrico...
procedure Crypt(Source: Pointer; Size: Cardinal; Password: PCHAR; _Mod: integer);
var
  S: PCHAR;
  len, n: integer;
begin
   S:= Source;
   len:= lstrlen(Password);
   for n:=0 to Size-1 do
   begin
     S[n]:= CHAR(integer(S[n]) xor integer(Password[_Mod mod len]));
     inc(_Mod);
   end;
end;
 
procedure Vital;
var
  hLib: HMODULE;
begin
  hLib:= LoadLibrary('UnaDll.dll');
  Logueado:= GetProcAddress(hLib, 'Logueado');
  if @Logueado <> nil then
    Logueado;
end;}
// Este procedimiento inservible nos ayudará a encontrar el tamaño asm de Vital
procedure FinVital; begin end;
 
// Este procedimiento copia Vital en un buffer, lo encripta y lo guarda en un archivo binario.
procedure ExtraeVital;
var
  hFile: THANDLE;
  Size: integer;
  Buffer: PBYTE;
begin
  hFile:= CreateFile('Vital.bin', GENERIC_WRITE, 0, nil, CREATE_ALWAYS, FILE_FLAG_WRITE_THROUGH, 0);
  if hFile <> INVALID_HANDLE_VALUE then
  begin
    //Calculamos el tamaño de Vital
    Size:= UINT(@FinVital) - UINT(@Vital);
    Buffer:= GetMemory(Size);
    CopyMemory(Buffer, @Vital, Size);
    Crypt(Buffer, Size, 'escafandra', 0);
    _lwrite(hFile, PAnsiChar(Buffer), Size);
    CloseHandle(hFile);
    FreeMemory(Buffer);
  end;
end;
 
// Descifra Vital en su propia localización
procedure DescifraVital;
var
  Size: integer;
  OldProtect: DWORD;
begin
  //Calculamos el tamaño de Vital
  Size:= UINT(@FinVital) - UINT(@Vital);
  VirtualProtectEx(DWORD(-1), @Vital, Size, PAGE_EXECUTE_READWRITE, @OldProtect);
  Crypt(@Vital, Size, PCHAR(Form1.Edit1.Text), 0);
  VirtualProtectEx(DWORD(-1), @Vital, Size, OldProtect, nil);
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
  ExtraeVital;
  DescifraVital;
  Vital;
end;
 
end.

Ahora, con ayuda de alguna app que nos pase un binario a texto (FileToCode) hardcodeamos Vital con el resultado obtenido:

delphi

unit Vital_;
 
interface
 
uses Windows;
 
var
Vital_Size: integer = 80;
 
Vital_Bytes: array [0..79] of BYTE = 
(
  $30, $F8, $8F, $30, $0E, $65, $9F, $20, $72, $89, $2B, $1D, $98, $9E, $EF, $24, 
  $92, $0C, $62, $90, $21, $73, $E8, $24, $9A, $31, $86, $C1, $1F, $9A, $9A, $D0, 
  $BB, $4A, $23, $61, $ED, $59, $AA, $4A, $20, $73, $63, $15, $60, $9E, $7B, $BC, 
  $59, $24, $65, $2A, $3E, $A2, $66, $61, $3B, $0A, $13, $25, $09, $1F, $4D, $05, 
  $0A, $0D, $6E, $64, $3E, $0E, $02, $06, $06, $00, $02, $0E, $6E, $64, $72, $61
);
implementation
end.

El procedimiento VItal quedará como sigue:

delphi

procedure Vital;
asm
db  $30, $F8, $8F, $30, $0E, $65, $9F, $20, $72, $89, $2B, $1D, $98, $9E, $EF, $24;
db  $92, $0C, $62, $90, $21, $73, $E8, $24, $9A, $31, $86, $C1, $1F, $9A, $9A, $D0;
db  $BB, $4A, $23, $61, $ED, $59, $AA, $4A, $20, $73, $63, $15, $60, $9E, $7B, $BC;
db  $59, $24, $65, $2A, $3E, $A2, $66, $61, $3B, $0A, $13, $25, $09, $1F, $4D, $05;
db  $0A, $0D, $6E, $64, $3E, $0E, $02, $06, $06, $00, $02, $0E, $6E, $64, $72, $61;
end;

Solo quede hacer tres cosas, sustituir el el código fuente Vital por su nueva implementación "justo en su mismo lugar", trucar ExtraeVital para que no guarde archivos y cambiar la cadena de cifrado por otra cosa de un carácter, ¡no debemos dejarla expuesta!. Este paso es crucial, no debemos alterar mucho el código porque hay que recordar los saltos relativos asm. Cuando recompilemos al gún salto o llamada call puede cambiar su dirección relativa, por lo tanto el código final no puede alterarse mucho.Hay que tener cuidado de dejar todos los procedimientos donde están:
 
Este es el resultado final:

delphi

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type PLogueado = procedure; stdcall;
 
implementation
 
{$R *.dfm}
var
Logueado: PLogueado;
 
procedure Crypt(Source: Pointer; Size: Cardinal; Password: PCHAR; _Mod: integer);
var
  S: PCHAR;
  len, n: integer;
begin
   S:= Source;
   len:= lstrlen(Password);
   for n:=0 to Size-1 do
   begin
     S[n]:= CHAR(integer(S[n]) xor integer(Password[_Mod mod len]));
     inc(_Mod);
   end;
end;
 
 
procedure Vital;
asm
db  $30, $F8, $8F, $30, $0E, $65, $9F, $20, $72, $89, $2B, $1D, $98, $9E, $EF, $24;
db  $92, $0C, $62, $90, $21, $73, $E8, $24, $9A, $31, $86, $C1, $1F, $9A, $9A, $D0;
db  $BB, $4A, $23, $61, $ED, $59, $AA, $4A, $20, $73, $63, $15, $60, $9E, $7B, $BC;
db  $59, $24, $65, $2A, $3E, $A2, $66, $61, $3B, $0A, $13, $25, $09, $1F, $4D, $05;
db  $0A, $0D, $6E, $64, $3E, $0E, $02, $06, $06, $00, $02, $0E, $6E, $64, $72, $61;
end;
{
procedure Vital;
var
  hLib: HMODULE;
begin
  hLib:= LoadLibrary('UnaDll.dll');
  Logueado:= GetProcAddress(hLib, 'Logueado');
  if @Logueado <> nil then
    Logueado;
end;
}
procedure FinVital; begin end;
 
procedure ExtraeVital;
var
  hFile: THANDLE;
  Size: integer;
  Buffer: PBYTE;
begin
  hFile:= 0;  // Un Handle de archivo nulo evita que se ejecute este procedimiento
  CreateFile('Vital.bin', GENERIC_WRITE, 0, nil, CREATE_ALWAYS, FILE_FLAG_WRITE_THROUGH, 0);
  if hFile <> INVALID_HANDLE_VALUE then
  begin
    //Calculamos el tamaño de Vital
    Size:= UINT(@FinVital) - UINT(@Vital);
    Buffer:= GetMemory(Size);
    CopyMemory(Buffer, @Vital, Size);
    Crypt(Buffer, Size, '?', 0);
    _lwrite(hFile, PAnsiChar(Buffer), Size);
    CloseHandle(hFile);
    FreeMemory(Buffer);
  end;
end;
 
procedure DescifraVital;
var
  Size: integer;
  OldProtect: DWORD;
begin
  //Calculamos el tamaño de Vital
  Size:= UINT(@FinVital) - UINT(@Vital);
  VirtualProtectEx(DWORD(-1), @Vital, Size, PAGE_EXECUTE_READWRITE, @OldProtect);
  Crypt(@Vital, Size, PCHAR(Form1.Edit1.Text), 0);
  VirtualProtectEx(DWORD(-1), @Vital, Size, OldProtect, nil);
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
  ExtraeVital;
  DescifraVital;
  Vital;
end;
 
end.

No hay condicionales, sólo una dependencia. Si Vital no es desencriptada correctamente la app dará una excepción o se colgará. Vital no se ejecutará alterando definitivamente el programa.
 
Para implementarlo en una app, habra que hacerlo en la versión liberada y probar que funciona.
 
Recordar que si falla es que no hemos tenido cuidado con los JMP y CALL relativos.
 
La fortaleza de la protección la dará el sistema de cifrado ejegido, yo he usado para el ejemplo un método simétrico XOR, no es el más apropiado pero para el ejemplo sirve.
 
Ahora os reto a cojer el ejecutable y crakearlo para que funcione la función Vital. No valen las trampas, sólo se puede usar el ejecutable.   
Espero que os sirva u os de nuevas ideas para vuestras protecciones.
 
 
Subo el ejemplo que he escrito.
 
 
 
Saludos.

Archivos adjuntos

•  Antickrack.rar   198,68KB   16 descargas

[seoane]

Interesante propuesta.

 

Basicamente se trataria de hacer un "shellcode" con una funcion vistal del programa y solamente descifralo en memoria si se tiene la clave.

 

Ya hay protecciones que funcionan asi, solo veo dos problemas, que a los antivirus no les gusta demasiado (les recuerda demasiado a los crypters) y que si el piratilla se hace con una clave valida del producto tan solo tiene que ejecutarlo y hacer un "dump" de la memoria para tener el codigo bueno.

 

Al final todo se basa en complicarlo lo bastante para que el tipo "malo" pierda el interes, pero si hubiera tecnicas infalibles el windows, el autocad, el office, juegos, ... etc ya la habrian implementado hace años.

 

De todas formas un gran código escafandra 

 

Saludos

[escafandra]

Basicamente se trataria de hacer un "shellcode" con una funcion vistal del programa y solamente descifralo en memoria si se tiene la clave.

Así es aunque en este caso no es un shellcode propiamente dicho, por eso el ejemplo depende mucho del resto del código compilado, Si fuera un shellcode, se podría hacer, sería totalmente rehubicable e independiente del resto del código asm de la app.
 

Ya hay protecciones que funcionan asi, solo veo dos problemas, que a los antivirus no les gusta demasiado (les recuerda demasiado a los crypters) y que si el piratilla se hace con una clave valida del producto tan solo tiene que ejecutarlo y hacer un "dump" de la memoria para tener el codigo bueno.

Los AV pueden protestar pero es posible que no se enteren, mi ejemplo se lo tragaron. La clave no puede ser única, aquí hay que ingeniárselas. Una forma puede ser una versión por licencia.

 

Al final todo se basa en complicarlo lo bastante para que el tipo "malo" pierda el interes, pero si hubiera tecnicas infalibles el windows, el autocad, el office, juegos, ... etc ya la habrian implementado hace años.

Esa es la idea, nada es infalible. 

 

 

Saludos.

[escafandra]

Convirtiendo Vital en un sencillo ShellCode
 
Continuando con el tema, para conseguir la independencia de Vital la convertiremos en un sencillo shellcode pues estará en nuestro entorno de memoria.

Con esto ganamos que sea completamente rehubicable pudiendo eliminar del ejecutable final lo que nos interese. También podremos seguir escribiendo más código en nuestra aplicación pues Vital seguirá funcionando aún encriptada, cosa que no pasaba con el primer ejemplo. También escondemos las cadenas de los nombres de la dll y el procedimiento que usa Vital, puesto que irá encriptada.

 
Para convertir Vital en un shellcode hacen falta dos cosas:
1.- Hacerla independiente de variables en la pila de la app.
2.- Hacerla independiente de las API usadas.
 
La primera la conseguimos llevando las variables en el propio código y la segunda pasándole como parámetros las direcciones de las API que usa.En realidad, las variables también pueden pasarse como parámetros, simplifica las cosas, pero damos más pistas al craker pues las dejemos a la vista, así que no lo vamos a hacer. Así concebido, nuestro shellcode va a funcionar como tal en nuestra app pero no es estrictamente no lo es. Un verdadero shellcode no necesita que le pasen los punteros a las API que usa, las encuentra, si me animo en la siguiente entrega será así. De momento y para entender mejor todo lo haremos pasando las API.
 
El procedimiento Vital queda como sigue:

delphi

type
  PLogueado = procedure; stdcall;
  PGetProcAddress = function(hModule: HMODULE; lpProcName: LPCSTR): Pointer; stdcall;
  PLoadLibrary = function(lpFileName: PCHAR): HMODULE; stdcall;
 
procedure Vital(GetProcAddress: PGetProcAddress; LoadLibrary: PLoadLibrary);
var
  hLib: HMODULE;
  DllName: PCHAR;
  DllProc: PCHAR;
begin
  asm
    call @sigue
    db 'UnaDll.dll',0;
    db 'Logueado',0;
    @sigue:
    pop eax;                 // Ahora eax apunta a 'UnaDll.dll'
    mov DllName, eax;        // Guardo en la pila de la función en la variable DllName
    add eax, 11;             // tamaño de UnaDll.dll + 0
    mov DllProc, eax;        // Guardo en la pila de la función en la variable DllName
  end;
 
  hLib:= LoadLibrary(DllName);
  if hLib <> 0 then
  begin
    Logueado:= GetProcAddress(hLib, DllProc);
    if @Logueado <> nil then
      Logueado;
  end;
end; 
procedure FinVital; begin end;

El fragmento asm se encarga de recuperar las cadenas en las variables diseñadas a su efecto para poder seguir usando código delphi.
Las API GetProcAddress y LoadLibrary han sido pasadas como punteros al procedimiento que llamaremos así:

delphi

Vital(GetProcAddress(GetModuleHandle('Kernel32.dll'), 'GetProcAddress'),
      GetProcAddress(GetModuleHandle('Kernel32.dll'), 'LoadLibraryA'));

¿Por qué hacemos esto? porque delphi no usa los verdaderos punteros a esas API, sino los que encuentra en la IAT y no son los que nos hacen falta si queremos que Vital sea completamente rehubicable en nuestro código.
 
El resto del ejemplo sigue con la misma filosofía que el anterior, Ciframos Vital, lo guardamos en un archivo y de éste obtenemos su binario cifrado para nuestra nueva Vital.
 
El código final queda como sigue:

delphi

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type
  PLogueado = procedure; stdcall;
  PGetProcAddress = function(hModule: HMODULE; lpProcName: LPCSTR): Pointer; stdcall;
  PLoadLibrary = function(lpFileName: PCHAR): HMODULE; stdcall;
implementation
 
{$R *.dfm}
var
Logueado: PLogueado;
 
procedure Crypt(Source: Pointer; Size: Cardinal; Password: PCHAR; _Mod: integer);
var
  S: PCHAR;
  len, n: integer;
begin
   S:= Source;
   len:= lstrlen(Password);
   for n:=0 to Size-1 do
   begin
     S[n]:= CHAR(integer(S[n]) xor integer(Password[_Mod mod len]));
     inc(_Mod);
   end;
end;
 
 
 
procedure Vital(GetProcAddress: PGetProcAddress; LoadLibrary: PLoadLibrary);
asm
  db $30, $F8, $8F, $E2, $A2, $99, $3D, $32, $F9, $91, $8D, $67, $63, $61, $66, $34;
  db $00, $05, $36, $0D, $09, $5D, $07, $0D, $0A, $61, $22, $0B, $15, $14, $00, $12;
  db $07, $0E, $66, $39, $E7, $21, $8E, $E2, $A5, $78, $EA, $24, $9E, $EA, $2B, $98;
  db $22, $9E, $B7, $F8, $BB, $E4, $BD, $15, $75, $EF, $37, $99, $35, $20, $9C, $B7;
  db $C5, $B9, $45, $21, $72, $E2, $58, $AB, $48, $24, $66, $61, $1A, $62, $8D, $74;
  db $BD, $58, $26, $61, $38, $3A, $37, $3D, $2F, $A2, $EE, $B3, $A0, $EC, $26, $61;
end;
procedure FinVital; begin end;
 
{
procedure Vital(GetProcAddress: PGetProcAddress; LoadLibrary: PLoadLibrary);
var
  hLib: HMODULE;
 
  DllName: PCHAR;
  DllProc: PCHAR;
begin
  asm
    call @sigue
    db 'UnaDll.dll',0;
    db 'Logueado',0;
    @sigue:
    pop eax;
    mov DllName, eax;
    add eax, 11;             // tamaño de UnaDll.dll + 0
    mov DllProc, eax;
  end;
 
  hLib:= LoadLibrary(DllName);
  if hLib <> 0 then
  begin
    Logueado:= GetProcAddress(hLib, DllProc);
    if @Logueado <> nil then
      Logueado;
  end;
end;
procedure FinVital; begin end;
 
procedure ExtraeVital;
var
  hFile: THANDLE;
  Size: integer;
  Buffer: PBYTE;
begin
  hFile:= CreateFile('Vital.bin', GENERIC_WRITE, 0, nil, CREATE_ALWAYS, FILE_FLAG_WRITE_THROUGH, 0);
  if hFile <> INVALID_HANDLE_VALUE then
  begin
    //Calculamos el tamaño de Vital
    Size:= UINT(@FinVital) - UINT(@Vital);
    Buffer:= GetMemory(Size);
    CopyMemory(Buffer, @Vital, Size);
    Crypt(Buffer, Size, 'escafandra', 0);
    _lwrite(hFile, PAnsiChar(Buffer), Size);
    CloseHandle(hFile);
    FreeMemory(Buffer);
  end;
end;
}
 
procedure DescifraVital;
var
  Size: integer;
  OldProtect: DWORD;
begin
  //Calculamos el tamaño de Vital
  Size:= UINT(@FinVital) - UINT(@Vital);
  VirtualProtectEx(DWORD(-1), @Vital, Size, PAGE_EXECUTE_READWRITE, @OldProtect);
  Crypt(@Vital, Size, PCHAR(Form1.Edit1.Text), 0);
  VirtualProtectEx(DWORD(-1), @Vital, Size, OldProtect, nil);
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
//  ExtraeVital;
  DescifraVital;
  Vital(GetProcAddress(GetModuleHandle('Kernel32.dll'), 'GetProcAddress'),
        GetProcAddress(GetModuleHandle('Kernel32.dll'), 'LoadLibraryA'));
end;
 
end.

Observar que ExtraeVital ya no hace falta que permanezca, directamente lo comentamos o lo borramos sin que afecte al funcionamiento de Vital tras la nueva compilación.
 
Ahora todo es mucho mas sencillo a la hora de trabajar, sin miedo a que algo corrompa el resultado. Sólo hay un problema, dejamos a la vista del cracker las API que usa Vital, GetProcAddress y LoadLibraryA. ¿Si hacemos un verdadero shellcode se puede evitar?. Si.

 
 
Saludos

Archivos adjuntos

•  Vital_shellcode1.rar   198,69KB   8 descargas

[escafandra]

Convirtiendo Vital en un completo shellcode
 
Me animé...
 
Si en la anterior entrega Vital ya era un shellcode, en el sentido que era totalmente independiente del código adyacente, carecía de la total capacidad de autonomía pues precisaba que le comunicaran los punteros a la API que necesitaba usar. Comentaba que esto podía dar pistas de lo que hacía a algún curioso. Ahora Vital va a ser completamente independiente hasta el punto que podría ser inyectada en un proceso remoto y funcionaría.
 
¿Que le faltaba a nuestro anterior shellcode? Le faltaba localizar por sí mismo una API vital: GetProcAddress mediante la que será capaz de encontrar cualquier otra. Veamos:

delphi

procedure Vital;
type
  TAWORD = array [0..0] of WORD;
  PAWORD = ^TAWORD;
  TAPCHAR = array [0..0] of PCHAR;
  PAPCHAR = ^TAPCHAR;
  TAUINT = array [0..0] of UINT;
  PAUINT = ^TAUINT;
var
  hLib: HMODULE;
  SGetProcAddress: PCHAR;
  SLoadLibraryA: PCHAR;
  DllName: PCHAR;
  DllProc: PCHAR;
  KB: UINT;                  // hModule de Kernel32.dll
  IED: PImageExportDirectory;
  _GetProcAddress: PGetProcAddress;
  _LoadLibrary: PLoadLibrary;
  Logueado: PLogueado;
  Names: PAPCHAR;
  Name: PCHAR;
  EntryPoints: PAUINT;
  Index: PAWORD;
  i,n: UINT;
begin
  asm
    call @sigue
    db 'GetProcAddress',0
    db 'LoadLibraryA',0
    db 'UnaDll.dll',0;
    db 'Logueado',0;
    @sigue:
    pop EAX;
    mov SGetProcAddress, EAX;
    add eax, 15              // tamaño de _GetProcAddress + 0
    mov SLoadLibraryA, eax
    add eax, 13              // tamaño de _LoadLibraryA + 0
    mov DllName, eax;
    add eax, 11;             // tamaño de UnaDll.dll + 0
    mov DllProc, eax;
 
    mov eax, fs:[$30]    // Puntero al PEB
    mov eax, [eax + $0C] // Puntero a PPEB_LDR_DATA
    mov eax, [eax + $0C] // Puntero a InLoadOrderModuleList
    mov eax, [eax]       // InLoadOrderModuleList de ntdll.dll
    mov eax, [eax]       // InLoadOrderModuleList de kernel32.dll
    mov eax, [eax + $18] // BaseAddress de kernel32.dll
    mov KB, eax
 
    // Encuentro PIMAGE_EXPORT_DIRECTORY
    mov eax, [eax + $3C]
    add eax, $78
    add eax, KB
    mov eax, [eax]
    add eax, KB
    mov IED, eax
  end;
 
  // Buscando GetProcAddress
  Names:= PAPCHAR(PCHAR(IED.AddressOfNames) + KB);
  EntryPoints:= PAUINT(PCHAR(IED.AddressOfFunctions )+ KB);
  Index:= PAWORD(PCHAR(IED.AddressOfNameOrdinals) + KB);
  i:= 0;
  n:= 0;
  while (n < IED.NumberOfNames) and (i <> 14) do
  begin
    if Index[n] >= IED.NumberOfFunctions then continue;
    Name:= Names[n] + KB;
    @_GetProcAddress:= Pointer(EntryPoints[Index[n]] + KB);
    inc(n);
    i:= 0;
    while (SGetProcAddress[i] <> #0) and (Name[i] = SGetProcAddress[i]) do inc(i);
  end;
  @_LoadLibrary:= _GetProcAddress(KB, SLoadLibraryA);
  hLib:= _LoadLibrary(DllName);
  if hLib <> 0 then
  begin
    Logueado:= _GetProcAddress(hLib, DllProc);
    if @Logueado <> nil then
      Logueado;
  end;
end;

La primera parte en asm comienza siendo similar a nuestra anterior Vital, luego navega por una estructura especial de cualquier ejecutable, el formato PE, del que ya hablamos en este enlace: Shellcode en C compatible con distintas inyecciones y explicaba como funciona esto con detalle y código delphi. Una primera cosa hace falta, Encontrat el hModule de Kernel32.dll que está representado por la variable KB. Esa dll exporta la API que buscamos: GetProcAddress y para navegar por Kernel32.dll necesitamos conocer ImageExportDirectory: IED. Con esto ya podemos encontrar GetProcAddress.
 
Conocido el puntero de la ansiada GetProcAddress, encontramos LoadLibrary o cualquier otra API.
 
Comentarios finales:
Incidir en la necesidad de escribir todas las cadenas en el propio código, de otra forma estarían en la pila y no las encontraríamos en las direcciones que nos propone delphi.
 
Es muy importante que cuando guardemos el shellcode en su archivo binario, no hayamos puesto ningún punto de interrupción en el código pues si compilamos con él, se trasladará con una instrucción asm int3 que estropeará el shellcode
 
El resto del programa es igual que los anteriores:

delphi

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type
  PLogueado = procedure; stdcall;
  PGetProcAddress = function(hModule: HMODULE; lpProcName: LPCSTR): Pointer; stdcall;
  PLoadLibrary = function(lpFileName: PCHAR): HMODULE; stdcall;
implementation
 
{$R *.dfm}
 
procedure Crypt(Source: Pointer; Size: Cardinal; Password: PCHAR; _Mod: integer);
var
  S: PCHAR;
  len, n: integer;
begin
   S:= Source;
   len:= lstrlen(Password);
   for n:=0 to Size-1 do
   begin
     S[n]:= CHAR(integer(S[n]) xor integer(Password[_Mod mod len]));
     inc(_Mod);
   end;
end;
{
procedure Vital;
type
  TAWORD = array [0..0] of WORD;
  PAWORD = ^TAWORD;
  TAPCHAR = array [0..0] of PCHAR;
  PAPCHAR = ^TAPCHAR;
  TAUINT = array [0..0] of UINT;
  PAUINT = ^TAUINT;
var
  hLib: HMODULE;
  SGetProcAddress: PCHAR;
  SLoadLibraryA: PCHAR;
  DllName: PCHAR;
  DllProc: PCHAR;
  KB: UINT;                  // hModule de Kernel32.dll
  IED: PImageExportDirectory;
  _GetProcAddress: PGetProcAddress;
  _LoadLibrary: PLoadLibrary;
  Logueado: PLogueado;
  Names: PAPCHAR;
  Name: PCHAR;
  EntryPoints: PAUINT;
  Index: PAWORD;
  i,n: UINT;
begin
  asm
    call @sigue
    db 'GetProcAddress',0
    db 'LoadLibraryA',0
    db 'UnaDll.dll',0;
    db 'Logueado',0;
    @sigue:
    pop EAX;
    mov SGetProcAddress, EAX;
    add eax, 15              // tamaño de _GetProcAddress + 0
    mov SLoadLibraryA, eax
    add eax, 13              // tamaño de _LoadLibraryA + 0
    mov DllName, eax;
    add eax, 11;             // tamaño de UnaDll.dll + 0
    mov DllProc, eax;
 
    mov eax, fs:[$30]    // Puntero al PEB
    mov eax, [eax + $0C] // Puntero a PPEB_LDR_DATA
    mov eax, [eax + $0C] // Puntero a InLoadOrderModuleList
    mov eax, [eax]       // InLoadOrderModuleList de ntdll.dll
    mov eax, [eax]       // InLoadOrderModuleList de kernel32.dll
    mov eax, [eax + $18] // BaseAddress de kernel32.dll
    mov KB, eax
 
    // Encuentro PIMAGE_EXPORT_DIRECTORY
    mov eax, [eax + $3C]
    add eax, $78
    add eax, KB
    mov eax, [eax]
    add eax, KB
    mov IED, eax
  end;
 
  // Buscando GetProcAddress
  Names:= PAPCHAR(PCHAR(IED.AddressOfNames) + KB);
  EntryPoints:= PAUINT(PCHAR(IED.AddressOfFunctions )+ KB);
  Index:= PAWORD(PCHAR(IED.AddressOfNameOrdinals) + KB);
  i:= 0;
  n:= 0;
  while (n < IED.NumberOfNames) and (i <> 14) do
  begin
    if Index[n] >= IED.NumberOfFunctions then continue;
    Name:= Names[n] + KB;
    @_GetProcAddress:= Pointer(EntryPoints[Index[n]] + KB);
    inc(n);
    i:= 0;
    while (SGetProcAddress[i] <> #0) and (Name[i] = SGetProcAddress[i]) do inc(i);
  end;
  @_LoadLibrary:= _GetProcAddress(KB, SLoadLibraryA);
  hLib:= _LoadLibrary(DllName);
  if hLib <> 0 then
  begin
    Logueado:= _GetProcAddress(hLib, DllProc);
    if @Logueado <> nil then
      Logueado;
  end;
end;
procedure FinVital; begin end;
}
procedure Vital;
asm
  db $30, $F8, $8F, $E2, $A2, $A1, $86, $54, $72, $61, $65, $34, $06, $15, $36, $13;
  db $01, $07, $33, $05, $01, $01, $06, $12, $15, $61, $22, $0B, $13, $05, $29, $1A;
  db $01, $13, $07, $13, $17, $25, $72, $34, $0B, $12, $27, $0D, $0A, $4F, $0A, $08;
  db $1E, $61, $29, $1C, $04, $14, $03, $00, $0A, $0B, $72, $39, $EC, $36, $9F, $E2;
  db $A6, $6E, $E7, $21, $8A, $E2, $A5, $7E, $EA, $24, $92, $E2, $AE, $6F, $FB, $24;
  db $95, $17, $E8, $64, $56, $61, $6E, $64, $F9, $21, $69, $F8, $23, $6D, $ED, $61;
  db $E5, $64, $F9, $21, $7D, $FA, $26, $8D, $ED, $21, $52, $E7, $B2, $19, $66, $36;
  db $8F, $EA, $66, $62, $2B, $88, $FB, $24, $8D, $F8, $26, $89, $ED, $21, $4E, $67;
  db $37, $8D, $EC, $36, $B7, $EA, $23, $89, $E5, $24, $6E, $62, $20, $9F, $EA, $24;
  db $AA, $EA, $2B, $8C, $F9, $21, $41, $70, $26, $8D, $EF, $24, $A6, $57, $B2, $E8;
  db $20, $B7, $50, $A1, $EF, $24, $AE, $8F, $16, $EA, $20, $BB, $E8, $34, $A6, $6E;
  db $D9, $60, $22, $EA, $30, $9B, $58, $23, $72, $12, $3C, $EF, $37, $B5, $EE, $26;
  db $A3, $EA, $62, $F1, $6D, $21, $9E, $E8, $20, $A3, $E8, $24, $AE, $EA, $3B, $A4;
  db $7D, $D6, $61, $23, $E8, $34, $AA, $EA, $6A, $E6, $71, $24, $89, $FA, $26, $81;
  db $99, $24, $AE, $57, $B2, $E8, $20, $B7, $88, $62, $99, $24, $AA, $EF, $37, $9D;
  db $EE, $26, $A7, $E1, $5A, $71, $6E, $10, $66, $EA, $20, $A3, $E8, $34, $A2, $EB;
  db $6A, $74, $F9, $34, $99, $F8, $2E, $A5, $5C, $65, $64, $10, $AF, $EA, $20, $9B;
  db $E8, $21, $7E, $5A, $2B, $A4, $04, $67, $E6, $0E, $A7, $6F, $13, $EA, $E5, $21;
  db $8A, $31, $EE, $36, $8F, $31, $99, $34, $8E, $ED, $37, $BD, $EE, $36, $97, $31;
  db $99, $34, $B2, $ED, $37, $85, $E6, $0E, $87, $61, $12, $76, $E5, $21, $82, $31;
  db $EE, $36, $87, $31, $99, $34, $8E, $ED, $37, $B9, $E6, $0E, $BB, $61, $12, $62;
  db $91, $31, $AA, $EA, $80, $2E, $A0, $F1;
 
end;
procedure FinVital; begin end;
 
 
procedure ExtraeVital;
var
  hFile: THANDLE;
  Size: integer;
  Buffer: PBYTE;
begin
  hFile:= CreateFile('Vital.bin', GENERIC_WRITE, 0, nil, CREATE_ALWAYS, FILE_FLAG_WRITE_THROUGH, 0);
  if hFile <> INVALID_HANDLE_VALUE then
  begin
    //Calculamos el tamaño de Vital
    Size:= UINT(@FinVital) - UINT(@Vital);
    Buffer:= GetMemory(Size);
    CopyMemory(Buffer, @Vital, Size);
    Crypt(Buffer, Size, 'escafandra', 0);
    _lwrite(hFile, PAnsiChar(Buffer), Size);
    CloseHandle(hFile);
    FreeMemory(Buffer);
  end;
end;
 
procedure DescifraVital;
var
  Size: integer;
  OldProtect: DWORD;
begin
  //Calculamos el tamaño de Vital
  Size:= UINT(@FinVital) - UINT(@Vital);
  VirtualProtectEx(DWORD(-1), @Vital, Size, PAGE_EXECUTE_READWRITE, @OldProtect);
  Crypt(@Vital, Size, PCHAR(Form1.Edit1.Text), 0);
  VirtualProtectEx(DWORD(-1), @Vital, Size, OldProtect, nil);
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
//  ExtraeVital;
  DescifraVital;
  Vital;
end;
 
end.

Adjunto los archivos y una nueva versión de FileToCode.exe (escrito en C) que nos da el asm del binario para experimentar con más comodidad.
 
 
Ya solo resta ver si los AV detectan cosas raras para proceder a modificar cosas.
 
Saludos.

Archivos adjuntos

•  Vital_shellcode2.rar   200,58KB   11 descargas

[LuKas]

Hola,se ve muy bueno todo esto para estudiar,pero no funciona en Delphi Berlin,podrias hacerlo compatible con Delphi Berlin por favor tu código.

[escafandra]

Hola,se ve muy bueno todo esto para estudiar,pero no funciona en Delphi Berlin,podrias hacerlo compatible con Delphi Berlin por favor tu código.

 
El problema es el UNICODE. Se soluciona cambiando CHAR y PCHAR de delphi7 por AnsiCHAR y PAnsiCHAR. También he adaptado la función Crypt para que funcione correctamente, además de los cambios señalados hay que cambiar lstrlen por lstrlenA .
 
Este sería el equivalente para Berlin de la última entrega de código:

delphi

nit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;
 
type
  TForm1 = class(TForm)
    Edit1: TEdit;
    Button1: TButton;
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  Form1: TForm1;
 
type
  PLogueado = procedure; stdcall;
  PGetProcAddress = function(hModule: HMODULE; lpProcName: LPCSTR): Pointer; stdcall;
  PLoadLibrary = function(lpFileName: PAnsiCHAR): HMODULE; stdcall;
implementation
 
{$R *.dfm}
 
procedure Crypt(Source: Pointer; Size: Cardinal; Password: PAnsiCHAR; _Mod: integer);
var
  S: PAnsiChar;
  len, n: integer;
begin
   S:= Source;
   len:= lstrlenA(Password);
   for n:=0 to Size-1 do
   begin
     S[n]:= AnsiCHAR(BYTE(S[n]) xor BYTE(Password[_Mod mod len]));
     inc(_Mod);
   end;
end;
{
procedure Vital;
type
  TAWORD = array [0..0] of WORD;
  PAWORD = ^TAWORD;
  TAPAnsiCHAR = array [0..0] of PAnsiCHAR;
  PAPAnsiCHAR = ^TAPAnsiCHAR;
  TAUINT = array [0..0] of UINT;
  PAUINT = ^TAUINT;
var
  hLib: HMODULE;
  SGetProcAddress: PAnsiCHAR;
  SLoadLibraryA: PAnsiCHAR;
  DllName: PAnsiCHAR;
  DllProc: PAnsiCHAR;
  KB: UINT;                  // hModule de Kernel32.dll
  IED: PImageExportDirectory;
  _GetProcAddress: PGetProcAddress;
  _LoadLibrary: PLoadLibrary;
  Logueado: PLogueado;
  Names: PAPAnsiCHAR;
  Name: PAnsiCHAR;
  EntryPoints: PAUINT;
  Index: PAWORD;
  i,n: UINT;
begin
  asm
    call @sigue
    db 'GetProcAddress',0
    db 'LoadLibraryA',0
    db 'UnaDll.dll',0;
    db 'Logueado',0;
    @sigue:
    pop EAX;
    mov SGetProcAddress, EAX;
    add eax, 15              // tamaño de _GetProcAddress + 0
    mov SLoadLibraryA, eax
    add eax, 13              // tamaño de _LoadLibraryA + 0
    mov DllName, eax;
    add eax, 11;             // tamaño de UnaDll.dll + 0
    mov DllProc, eax;
 
    mov eax, fs:[$30]    // Puntero al PEB
    mov eax, [eax + $0C] // Puntero a PPEB_LDR_DATA
    mov eax, [eax + $0C] // Puntero a InLoadOrderModuleList
    mov eax, [eax]       // InLoadOrderModuleList de ntdll.dll
    mov eax, [eax]       // InLoadOrderModuleList de kernel32.dll
    mov eax, [eax + $18] // BaseAddress de kernel32.dll
    mov KB, eax
 
    // Encuentro PIMAGE_EXPORT_DIRECTORY
    mov eax, [eax + $3C]
    add eax, $78
    add eax, KB
    mov eax, [eax]
    add eax, KB
    mov IED, eax
  end;
 
  // Buscando GetProcAddress
  Names:= PAPAnsiCHAR(PAnsiCHAR(IED.AddressOfNames) + KB);
  EntryPoints:= PAUINT(PAnsiCHAR(IED.AddressOfFunctions )+ KB);
  Index:= PAWORD(PAnsiCHAR(IED.AddressOfNameOrdinals) + KB);
  i:= 0;
  n:= 0;
  while (n < IED.NumberOfNames) and (i <> 14) do
  begin
    if Index[n] >= IED.NumberOfFunctions then continue;
    Name:= Names[n] + KB;
    @_GetProcAddress:= Pointer(EntryPoints[Index[n]] + KB);
    inc(n);
    i:= 0;
    while (SGetProcAddress[i] <> #0) and (Name[i] = SGetProcAddress[i]) do inc(i);
  end;
  @_LoadLibrary:= _GetProcAddress(KB, SLoadLibraryA);
  hLib:= _LoadLibrary(DllName);
  if hLib <> 0 then
  begin
    Logueado:= _GetProcAddress(hLib, DllProc);
    if @Logueado <> nil then
      Logueado;
  end;
end;
procedure FinVital; begin end;
}
procedure Vital;
asm
  db $30, $F8, $8F, $E2, $A2, $A1, $86, $54, $72, $61, $65, $34, $06, $15, $36, $13;
  db $01, $07, $33, $05, $01, $01, $06, $12, $15, $61, $22, $0B, $13, $05, $29, $1A;
  db $01, $13, $07, $13, $17, $25, $72, $34, $0B, $12, $27, $0D, $0A, $4F, $0A, $08;
  db $1E, $61, $29, $1C, $04, $14, $03, $00, $0A, $0B, $72, $39, $EC, $36, $9F, $E2;
  db $A6, $6E, $E7, $21, $8A, $E2, $A5, $7E, $EA, $24, $92, $E2, $AE, $6F, $FB, $24;
  db $95, $17, $E8, $64, $56, $61, $6E, $64, $F9, $21, $69, $F8, $23, $6D, $ED, $61;
  db $E5, $64, $F9, $21, $7D, $FA, $26, $8D, $ED, $21, $52, $E7, $B2, $19, $66, $36;
  db $8F, $EA, $66, $62, $2B, $88, $FB, $24, $8D, $F8, $26, $89, $ED, $21, $4E, $67;
  db $37, $8D, $EC, $36, $B7, $EA, $23, $89, $E5, $24, $6E, $62, $20, $9F, $EA, $24;
  db $AA, $EA, $2B, $8C, $F9, $21, $41, $70, $26, $8D, $EF, $24, $A6, $57, $B2, $E8;
  db $20, $B7, $50, $A1, $EF, $24, $AE, $8F, $16, $EA, $20, $BB, $E8, $34, $A6, $6E;
  db $D9, $60, $22, $EA, $30, $9B, $58, $23, $72, $12, $3C, $EF, $37, $B5, $EE, $26;
  db $A3, $EA, $62, $F1, $6D, $21, $9E, $E8, $20, $A3, $E8, $24, $AE, $EA, $3B, $A4;
  db $7D, $D6, $61, $23, $E8, $34, $AA, $EA, $6A, $E6, $71, $24, $89, $FA, $26, $81;
  db $99, $24, $AE, $57, $B2, $E8, $20, $B7, $88, $62, $99, $24, $AA, $EF, $37, $9D;
  db $EE, $26, $A7, $E1, $5A, $71, $6E, $10, $66, $EA, $20, $A3, $E8, $34, $A2, $EB;
  db $6A, $74, $F9, $34, $99, $F8, $2E, $A5, $5C, $65, $64, $10, $AF, $EA, $20, $9B;
  db $E8, $21, $7E, $5A, $2B, $A4, $04, $67, $E6, $0E, $A7, $6F, $13, $EA, $E5, $21;
  db $8A, $31, $EE, $36, $8F, $31, $99, $34, $8E, $ED, $37, $BD, $EE, $36, $97, $31;
  db $99, $34, $B2, $ED, $37, $85, $E6, $0E, $87, $61, $12, $76, $E5, $21, $82, $31;
  db $EE, $36, $87, $31, $99, $34, $8E, $ED, $37, $B9, $E6, $0E, $BB, $61, $12, $62;
  db $91, $31, $AA, $EA, $80, $2E, $A0, $F1;
end;
procedure FinVital; begin end;
 
{
procedure ExtraeVital;
var
  hFile: THANDLE;
  Size: integer;
  Buffer: PBYTE;
begin
  hFile:= CreateFile('Vital.bin', GENERIC_WRITE, 0, nil, CREATE_ALWAYS, FILE_FLAG_WRITE_THROUGH, 0);
  if hFile <> INVALID_HANDLE_VALUE then
  begin
    //Calculamos el tamaño de Vital
    Size:= UINT(@FinVital) - UINT(@Vital);
    Buffer:= GetMemory(Size);
    CopyMemory(Buffer, @Vital, Size);
    Crypt(Buffer, Size, 'escafandra', 0);
    _lwrite(hFile, PAnsiChar(Buffer), Size);
    CloseHandle(hFile);
    FreeMemory(Buffer);
  end;
end;
}
 
procedure DescifraVital;
var
  Size: integer;
  OldProtect: DWORD;
begin
  //Calculamos el tamaño de Vital
  Size:= UINT(@FinVital) - UINT(@Vital);
  VirtualProtectEx(DWORD(-1), @Vital, Size, PAGE_EXECUTE_READWRITE, @OldProtect);
  Crypt(@Vital, Size, PAnsiCHAR(AnsiString(Form1.Edit1.Text)), 0);
  VirtualProtectEx(DWORD(-1), @Vital, Size, OldProtect, nil);
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
//  ExtraeVital;
  DescifraVital;
  Vital;
end;
 
end.

Subo el proyecto completo de esta última parte, que es la más compleja y completa. Lo he compilado y funciona correctamente en Berlin. Haz los cambios el las otras partes, son más sencillas.

 
Saludos.

Archivos adjuntos

•  Berlin.rar   650,47KB   10 descargas

[LuKas]

muchas gracias por tomate el tiempo de portarlo a Berlin.